Erros Relacionados com a Gest�o de Recursos - Incerta

Esta categoria engloba erros relacionados com situa��es em que o software n�o gere de forma adequada a cria��o, utiliza��o, transfer�ncia, ou destrui��o de recursos de sistema importantes.

10. Falha em confinar as opera��es aos limites de um buffer de mem�ria

Quando os buffer ?transbordam? fazem-nos lembrar a lei da f�sica que afirma que n�o podemos colocar num recipiente mais do que aquilo que est� limitado pela sua capacidade. Com as aplica��es C a reinarem durante d�cadas, o transbordar de buffer tornou-se notavelmente resistente � elimina��o. Uma das raz�es para isso tem a ver com o facto de n�o se tratar apenas da utiliza��o incorrecta do strcpy(), ou da verifica��o impr�pria da extens�o das entradas.

As t�cnicas de detec��o e de ataque continuam a evoluir e as variantes actuais dos buffers transbordantes nem sempre s�o �bvias � primeira ou mesmo � segunda vista. Podemos pensar que estamos completamente imunes ao extravasamento de buffers porque escrevemos o c�digo em linguagens de mais alto n�vel, em vez de C. Mas em que est� escrito o nosso interpretador de linguagem ?seguro? favorito? E o que dizer do c�digo nativo que chamamos? Em que linguagens est� escrita a API do sistema operativo. E o software que corre a infra-estrutura Internet?

11. Controlo externo de dados de estado cr�ticos

Existem muitas formas de armazenar dados de estado do utilizador sem o custo de uma base de dados. Infelizmente, se guardarmos esses dados num local onde um atacante os possa modificar, tamb�m podemos ver reduzido um compromisso bem sucedido. Por exemplo, os dados podem ser armazenados em ficheiros de configura��o, perfis, cookies, campos de formul�rio escondidos, vari�veis ambientais, chaves de registo, ou outros locais; todos locais onde podem ser modificados por um atacante.

Em protocolos sem estado, como o HTTP, tem de ser capturada alguma forma de informa��o de estado de utilizador em cada pedido, pelo que fica exposta a um atacante sem necessidade. Se realizarmos qualquer opera��o cr�tica em termos de seguran�a com base nestes dados (por exemplo, declarar que o utilizador � um administrador), podemos apostar que algu�m ir� modificar os dados para levar a aplica��o a fazer algo que n�o quer�amos.

12. Controlo externo do nome ou caminho de ficheiro

Apesar dos dados serem partilhados normalmente atrav�s da utiliza��o de ficheiros, por vezes n�o queremos expor todos os ficheiros do nosso sistema quando fazemos isso. Quando utilizamos uma entrada externa aquando da constru��o de um nome de ficheiro, o caminho resultante pode apontar para fora a directoria pretendida. Um atacante poder� combinar sequ�ncias m�ltiplas ou similares para fazer com que o sistema operativo navegue para fora da directoria restrita.

Outros ataques relacionados com ficheiros s�o simplificados atrav�s do controlo externo de um nome de ficheiro, como o seguimento de uma liga��o simb�lica. Desta forma, a nossa aplica��o ir� ler ou modificar ficheiros a que o atacante n�o consegue aceder directamente. Acontece o mesmo se o nosso programa estiver a correr com privil�gios elevados e aceitar nomes de ficheiros como entrada. Por outro lado, se permitirmos que um utilizador externo especifique um URL arbitr�rio, a partir do qual iremos importar c�digo e execut�-lo, estaremos a expor-nos a worms.

13. Caminho de busca n�o fidedigno

O nosso software depende de n�s, ou do seu ambiente, para fornecer um caminho de busca, de modo a saber onde poder� encontrar recursos cr�ticos ? por exemplo, bibliotecas de c�digo ou ficheiros de configura��o. Se o caminho de busca estiver sob o controlo de um atacante, este �ltimo poder� modific�-lo para apontar para os recursos que escolher. Isto far� com que o software aceda aos recursos errados na altura errada. Existe este mesmo risco se um �nico elemento do caminho de busca estiver sob o controlo de um atacante ? por exemplo, a directoria em que se est� a trabalhar.

14. Falha em controlar a gera��o de c�digo

Por uma quest�o de facilidade de desenvolvimento, por vezes n�o conseguimos resistir � utiliza��o de poucas linhas de c�digo para implementar uma grande quantidade de funcionalidade. � ainda mais interessante quando gerimos o c�digo de forma din�mica. Apesar de ser dif�cil negar a sedu��o pelo c�digo gerado de forma din�mica, a verdade � que os atacantes tamb�m o consideram apelativo.

Torna-se uma vulnerabilidade s�ria quando o nosso c�digo pode ser chamado directamente por partes n�o autorizadas ? se as entradas externas podem influenciar o c�digo que � executado, ou (horror dos horrores) se essas entradas s�o alimentadas directamente no pr�prio c�digo. As implica��es s�o �bvias: todo o c�digo passa a pertencer a essas partes externas.

15. Importa��o de c�digo sem verifica��o de integridade

N�o � necess�rio ser-se guru para perceber que, se importarmos c�digo e o executarmos, estamos a partir do princ�pio que a fonte desse c�digo n�o � maliciosa. Talvez confiemos no facto de restringirmos o acesso apenas a um site de importa��o da nossa confian�a. No entanto, os atacantes podem realizar todo o tipo de ac��es para modificar esse c�digo antes do mesmo chegar at� n�s. Podem atacar o site de importa��o, imit�-lo com spoofing DNS ou cache poisoning, convencer o sistema a redireccionar para um site diferente, ou mesmo modificar o c�digo em tr�nsito � medida que viaja na rede.

Este cen�rio aplica-se inclusivamente aos casos em que � o nosso pr�prio produto a importar e a instalar as suas pr�prias actualiza��es. Quando isto acontece, o nosso software acabar� por correr c�digo que n�o esperava correr, algo que � mau para n�s, mas �ptimo para o atacante.

16. Desactiva��o ou destrui��o inadequada de recursos

Quando os nossos preciosos recursos de sistema atingem o fim de vida, precisamos de lidar com eles de forma correcta. Caso contr�rio, o nosso ambiente acabar� por ficar congestionado ou contaminado. Isto aplica-se � mem�ria, ficheiros, cookies, estruturas de dados, sess�es, canais de comunica��o, etc. Os atacantes poder�o explorar desactiva��es feitas de forma impr�pria para manterem o control sobre esses recursos muito depois de pensarmos que nos t�nhamos livrados deles. Isto poder� conduzir a um consumo significativo de recursos, uma vez que, na realidade, nada foi eliminado do sistema.

Se n�o destruirmos o nosso lixo antes de o colocar no contentor, os atacantes poder�o revolv�-lo e procurar dados sens�veis que deveriam ter sido tornados ileg�veis. Os atacantes tamb�m podem reutilizar os recursos, algo que at� poder� parece louv�vel num mundo ?verde?, mas n�o no mundo virtual, onde esses recursos poder�o continuar a ter um valor significativo.

17. Inicializa��o inadequada

Do mesmo modo que devemos come�ar o dia com um pequeno-almo�o saud�vel, a inicializa��o adequada tamb�m ajuda a garantir que o nosso software ir� correr sem a ocorr�ncia de problemas quando est� a fazer algo importante. Se n�o inicializarmos os nossos dados e vari�veis de forma adequada, um atacante poder� ser capaz de efectuar a inicializa��o por n�s, ou extrair informa��o sens�vel que se mant�m de sess�es anteriores.

Quando estas vari�veis s�o utilizadas em opera��es cr�ticas em termos de seguran�a ? por exemplo, numa decis�o de autentica��o ? podem ser modificadas para contornar a seguran�a. A inicializa��o incorrecta pode ocorrer em qualquer altura, mas � provavelmente mais comum em condi��es raras, que fazem com que o nosso c�digo omita inadvertidamente a inicializa��o, nomeadamente no caso de erros obscuros.

18. C�lculo incorrecto

Os computadores podem realizar c�lculos cujos resultados n�o pare�am fazer sentido em termos matem�ticos. Por exemplo, se estivermos a multiplicar dois grandes n�meros positivos, o resultado poder� ser um n�mero muito menor devido a uma sobrecarga de d�gitos. Noutros casos, o c�lculo pode ser imposs�vel de realizar pelo programa, como uma divis�o por zero.

Quando os atacantes t�m algum controlo sobre as entradas que s�o utilizadas em c�lculos num�ricos, esta fraqueza pode ter realmente consequ�ncias em termos de seguran�a. Pode fazer com que tomemos decis�es incorrectas em termos de seguran�a. Por exemplo, poder� fazer com que aloquemos muitos mais recursos (ou muito menos) do que aqueles que pretend�amos. Isto verifica-se no caso de sobrecarga de d�gitos, que desencadeia sobrecargas de buffer devido a uma aloca��o insuficiente de mem�ria. Poder� verificar-se assim viola��o da l�gica de neg�cio, como no caso de um c�lculo que produz um pre�o negativo. Finalmente, tamb�m � poss�vel uma nega��o de servi�o, como numa divis�o por zero que provoca um crash do programa.

Baseado no relat�rio ?2009 CWE/SANS Top 25 Most Dangerous Programming Errors? de 12 de Janeiro de 2009.

Topo

Agenda

Destaques